2017年11月28日 05時00分 公開
特集/連載

今からでも間に合う「GDPR」対策【第2回】「GDPR」条文解説、“罰金2000万ユーロ”を科されないためにやるべきことは? (1/2)

EU一般データ保護規則「GDPR」の適用対象となるのは、どのような企業なのか。場合によっては2000万ユーロにもなる制裁金を科されないようにするには、何をすべきなのか。条文の内容を基に確認します。

[持田広志,デロイト トーマツ サイバーセキュリティ先端研究所]

 前回「いまさら聞けない『GDPR』(一般データ保護規則)の真実 “罰金2000万ユーロ”の条件は?」は、欧州連合(EU)の一般データ保護規則、いわゆる「GDPR」(General Data Protection Regulation、以下GDPR)とは何かについて論じてきました。第2回となる今回は、GDPR適用の範囲と、GDPRで制裁金を科されないために必要な対策を考えていきます。

GDPR適用の範囲

 GDPRの適用となるのは、どのような事業者でしょうか。GDPRは、個人データの処理行為の種類を基に、適用対象になるかどうかを規定しています。GDPR第3条第1項は、適用対象となる行為として「EU域内の事業所での活動に関連してなされる個人データの処理(the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union)」を挙げています(丸かっこ内の英文はGDPR原文の引用、以下同じ)。日本法人から見ると、EU域内に設立した子会社など現地拠点での個人データの処理が該当します。

 EUに拠点がない事業者でも、EU在住の個人データを処理する場合にGDPR適用となる場合があります。GDPR第3条第2項(a)は「EU在住のデータ主体に対する商品またはサービスの提供(the offering of goods or services,<中略> to such data subjects in the Union)に関連した個人データの処理」をGDPR適用対象の行為として挙げています。これは日本法人からEU在住の人に対して、インターネット経由で商品の通信販売をしたり、サービスを提供したりしている場合が該当します。

 ここでいう商品、サービスに関しては、対価の有無を問わないことになっています(irrespective of whether a payment of the data subject is required)。そのため無料のインターネットサービスを提供している場合でも、GDPR適用の対象となる可能性があります。さらに同項(b)によると、商品/サービスの提供の有無にかかわらず「EU域内で行われるデータ主体の行動の監視(the monitoring of their behaviour as far as their behaviour takes place within the Union)に関連した個人データの処理」もGDPR適用対象になると定めていることに注意が必要です。

GDPRの制裁金

 自社がGDPRの適用対象になるとして、制裁金を科されないためには何をしたらよいのでしょうか。まず必要な対策について洗い出すことから始めます。条文上、管理者と処理者に制裁金が科される条項を確認すると、第83条(制裁金の一般条件:General conditions for imposing administrative fines)に記載があります。この内容をまとめたものが、以下の表です。

       1|2 次のページへ

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news075.jpg

KPIの到達可能性をAIが判断して広告配信を自動最適化、マイクロアドが「UNIVERSE FFM Version1.0」を提供
マイクロアドは、「UNIVERSE フルファネルマネジメント Version1.0」を提供開始した。

news061.jpg

マーケティングオートメーション×LPO トライベック・ストラテジーとデータアーティストがツール連携
トライベック・ストラテジーとデータアーティストは、それぞれが提供するツールの連携を...

news053.jpg

電通デジタルとビービット、マーケティングオートメーションのシナリオをPDCAで支援する独自メソッド提供
電通デジタルはビービットと共同で、デジタル行動観察ツール「ユーザグラム」を活用し、...